vorausgesetzt man hat eine Handvoll Router und Switche übrig: Meint Ihr, dass man damit etwas mehr Sicherheit in sein Heimnetz bringen kann? Stichwort DMZ und Kaskaden. Auch wenn letzteres wohl nicht mehr Stat of the Art ist…
Ich habe neben der Infrastruktur (IPS-Server, CCU2, LAN-Adapter, WLAN-Kameras, Fernseher, Squeezebox, …) zwei NAS, zwei Handys und zwei Notebooks mit privaten Daten. Ach ja, die Kinder würde ich auch gern separat mit Internet/WLAN versorgen - getrennt von IPS/Infrastruktur und privaten Daten. - Ist die Einteilung in Infrastruktur, private Daten und Kinder/Gäste überhaupt sinnvoll?
Dank und Grüße
galleto
P.S. Außerdem muss das „private“ WLAN im Haus verstärkt werden, aber das habe ich über einen zweiten, per LAN angebundenen Router bereits laufen.
Da ich auch Sat-IP im Einsatz habe, habe ich damals mir dazu auch Gedanken gemacht. Es kann durchaus Sinn machen auf anderen Kanälen seperate Wlans aufzuziehen, damit auf diesen ungestört bestimmte Daten laufen können. Ich habe es aber verworfen, weil ich einfach keinen ungestörten Kanal-Bereich (bedingt durch Nachbarn) gefunden habe. Jetzt verwende ich das 5GHZ-Netz für manche Clients, da sich dort einfach nicht so viel tummelt, wenn ich eine hohe Datenrate benötige.
was spricht gegen VLANs?
Wenn du die Daten im Netzwerk trennen möchtest dann besorg dir doch lieber kleine managebare Switche und bau dir mit VLANs ein VLAN für den allgemeinen Netzwerkverkehr und eins für Surfen etc. auf.
Gegen VLANs spricht gar nix. Wenn ich mich nicht täusche (das meine ich ernst, bin technischer Laie), dann geht es mir genau darum.
Allerdings würde ich gern die vorhandenen Router nutzen. 2x Fritzbox, 1x TP-Link, 2x Speedport sind u.a. vorhanden. Die Idee kommt aus der ct. Da wird natürlich nicht das Thema Hausautomatisierung berücksichtigt. Deshalb meine Frage, ob jemand mit IPS sowas schon umgesetzt hat oder zumindest theoretisch ein paar Tipps zum Aufbau geben kann.
Gegen welchen Angriffsvektor soll denn geschützt werden? DMZ und VLANs sind hilfreich um isolierte Segmente gegeneinander abzugrenzen. All das hilft aber nicht, wenn sich auf deinem Hauptrechner (der wohl alles in deinem Netz erreichen kann) eine böse Software eingenistet hat, die von innen immer wieder verschlüsselt (z.B. über https) eine Verbindung zum feindlichen Rechner im Internet aufbaut.
Ich kann zwar nur etwas zum Thema WLAN beitragen aber ich habe das Gäste-WLAN über ein VLAN vom übrigen Hausnetz abgetrennt. D.h. es existiert ein VLAN100 welches über VLAN-Tagging switchübergreifend an den Port 4 der Fritzbox geführt wird. An der Fritzbox ist das Gastnetz aktiviert, WLAN allerdings deaktiviert (die Box hängt im Keller). WLAN läuft dann über Ubiquiti und für das Gastnetz wird täglich nachts ein neuer Schlüssel vergeben (Spoosies aufgebohrtes Unifi-Modul) welcher im Webfront in Schriftform und als QR-Code abgegriffen werden kann.
Kindersch, überfordert mich nicht gleich, bin doch ein Laie.
@KaiS
Fritzbox 7270 und 7330, TP-Link TL-WR840N, die Speedports sind wahrscheinlich nur Spielzeug.
@icey
Die Frage kann ich Dir nicht beantworten. Eigentlich möchte ich wissen, ob ich mit der vorhandenen Technik einen sinnvollen Zusatzschutz aufbauen kann. Wenn ich Dich richtig verstehe, dann scheint Deine Antwort „nein“ zu sein. Einen zentralen Hauptrechner habe ich zwar nicht, aber von meinem Notebook wöllte ich schon an IPS, die Infrastruktur und die privaten Daten ran kommen. Das muss aber nicht komfortabel über z.B. Netzlaufwerke erfolgen, da nehme ich auch Zusatzaufwand (wie etwa Remotedesktop, Portweiterleitungen oder VPN) in Kauf. - Bringt denn die Abtrennung des IPS-Segments oder der Privatdaten gar keinen Nutzen?
@Kronos
Klingt ja schwer gesichert. Für den WLAN-Zugang der Kinder werde ich mir auch was einfallen lassen müssen. Aber wahrscheinlich nicht so „highclass“.
Gut das unser Nachwuchs erst in den Kindergarten kommt… Da darf ich mich ja noch damit beschäftigen…
Im WLAN Umfeld sollen ja die Ubiquity ACCESS Points + Controller ganz brauchbar sein?
Ich mache das wie gesagt mit Ubiquiti. Mit Hilfe von Spoosies Modul kann man einer WLAN-SSID über IPS ein neues Zufallspasswort verpassen. Das passiert bei mir des nächtens alle 24 Stunden. Also habe ich für Gäste täglich ein neues Passwort und spare mir es selbst regelmäßig wechseln zu müssen.
verstehe mich bitte nicht falsch. Netzwerkzonen aufzubauen ist nichts falsches. Meine „heiligen“ Resourcen liegen auch hinter einer IPFire, IP Symcon natürlich auch. Davor am DSL Router hängen dann halt Dinge wie Smartphones, Tablets, usw. die eigentlich nur Internet brauchen. Ein Guest-WLAN ist bei Bedarf auch zuschaltbar. Manchmal ist das Konzept aber auch nervig, wenn man mit dem Smartphone und der Mobile App auf IP Symcon zugreifen möchte. Ok, es gibt ja IPS connect, aber doch zusätzliches Aufwand.
Meine grundsätzliche Frage bleibt aber. Gegen was willst du dich denn schützen? Wenn du dir darüber nicht im klaren bist, kannst du auch kein Konzept dafür machen. Netzwerkzonen helfen z.B. dann überhaupt nicht, wenn ein verseuchter Laptop (z.B. ohne Virenscanner, ohne aktuelle Patchlevel und ohne local Firewall) in deiner innersten Zone angeschlossen wird. Mit Netzwerkzonen wird halt alles ein wenig aufwendiger und komplizierter.
Ich komme wieder darauf zurück. Du musst den Angriffsvektor und das damit verbundene Risiko abschätzen und den möglichen Mehraufwand dagegen abwägen. Das ist das klassische Vorgehen einer ISEC Abteilung. Und nein, ich arbeite nicht in einer solchen, ich ärgere mich nur oft über die.
@kronos:
Warum änderst Du das Passwort alle 24 Stunden? Stelle ich mir extrem aufwändig vor? Ich stelle mir gerade vor, wie ich meine Gäste morgens vorm Frühstück erstmal zum QR Code bringen muss, damit sie wieder Zugriff haben? Regelmäßig wiederkehrende Gäste freuen sich bei mir zu Hause, dass sie sofort Zugriff haben. Oder sprichst Du von einer gewerblichen Installation?
@all: Die Produkte von Ubiquiti sind empfehlenswert.
Vielleicht hast Du recht und eine wöchentliche Änderung wäre ausreichend. Nenn es Paranoia aber mir gefällt der Gedanke, dass mir eher unbekannte Freunde meiner Kinder nicht über Wochen hinweg nach belieben unser WLAN nutzen können. Eher unbekannt weil ich doch meist im Büro bin wenn diese zu Besuch sind.
Darüber hinaus ist die Neuregelung der Störerhaftung noch nicht so lange gültig und die jetzt geltende Regelung läßt noch immer Raum für Verbesserungen.
Und als letzter Punkt - ich bin in dieser Hinsicht beruflich etwas vorgeschädigt.
Naja, die Einordnung Deines Besuchs in verschiedene Benutzergruppen ist ja Deine Sache. Es hindert Dich ja niemand daran zwischen guten Freunden/Bekannten und echten Gästen zu unterscheiden. Letztere kommen dann in´s Gäste-Netz mit täglichem Wechsel, Erstere bekommen halt einen Zugang der länger hält.
Unsere Große ist gerade 9 geworden - so langsam wird die „Bedrohung von Innen“ greifbarer. Aber ein paar Jährchen hab ich noch…
Ich verstehe Deinen Ansatz („Lösung setzt Problem/Ziel voraus“), aber ich kann Dir wie gesagt die konkrete Frage nicht beantworten. Ich weiß als Laie schlicht zu wenig, um einen „Angriffsvektor“ benennen zu können. Meine Hoffnung war, dass mir jemand mit Bezug zu IPS sagt: Mit der vorhandenen Technik kannst du X machen, das hilft gegen Y.
Der verlinkte ct-Artikel löst offenbar „irgendwelche Probleme“, indem er „irgendwelche Gefahren“ minimiert (bissl genauer verstehe ich schon, wovon die Rede ist…). Nun kann es freilich sein, dass das dort genannte Beispiel der Trennung von Heimbüro und Privatnetz für uns Hausautomatisierer nicht übertragbar ist und wir einfach gar nix machen können. Glaub ich eher nicht.
Eigentlich hast Du mir indirekt schon die erste Hilfe gegeben, indem Du von einer hinteren Zone der heiligen Ressourcen inkl. IPS und der davor liegenden Anbindung der Smartphones sprichst. Das würde mich genauer interessieren. Mir fehlt halt jegliche Erfahrung, wie man mit Infrastruktur zusätzliche Sicherheit erzeugen könnte. Zusatzaufwand spielt dabei erstmal eine untergeordnete Rolle.
Nur als Beispiel, folgende Gedanken beschäftigen einen Laien wie mich:
Sind die WLAN-Cameras sicher oder potentielle Einfallstore?
Welche Konsequenzen könnte ein Trojaner-/Virenproblem verursachen?
Wie halte ich die Kinder von der Haustechnik fern?
…
Für alle genannten Punkte: Kann ich durch separate Netze Schutz erzeugen?
Beim Punkt „Kinder“ sind mir Problem und Lösungsansatz prinzipiell klar. Sonst eher nicht.
Bei mir läuft das gesamte Netzwerk via Ubiquity Unifi Hardware (Switches, WLan) mit 4 via USG gerouteten VLANs (Automation, Gäste, Surfing, Daten) hinter einer Sophos UTM. Gäste kriegen Zugriff via Gästeportal mit 1 day Zugangscodes. WLAN Kameras dürfen nicht ins Inet (wie Fernseher) Zugriff aufs Heimnetz nur via SSL VPN über die UTM. Seitdem ich vor 2Jahren Bitcoin Miner auf meinen Synologys gefunden habe und täglich die Portscans in meiner UTM verfolgen kann habe ich beschlossen,dass Paranoia hilft…
Also ich denke der VLAN Ansatz macht Sinn.
Beste Grüße
hoep
muss mich jetzt hier auch einmal einklinken. Ich habe gelesen, dass Du IPS hinter Sophos UTM betreibst. Hast Du IPS auch darüber nach draußen veröffentlicht?
Mein konkretes Problem ist, dass ich IPS auch hinter einem Reverse-Proxy betreibe und Basic-Auth über HTTPS verwende. Für das Web-Interface selbst ist das auch okay, jedoch funktioniert das dann nicht mehr mit den Mobile-Apps für IPS. Hierfür muss ich dann leider VPN vorher aktivieren, was wiederum den WAF-Faktor extrem nach unten sinken lässt.
Benutzt Du die IPS-Apps?
Im Hinterkopf waren Gäste bei mir eher Freunde / Bekannte, die auch schon mal über Nacht bleiben. Ich war in Gedanken gar nicht bei echten Gästen die man nicht kennt und ggf. nicht wiedersieht. Diese bekommen bei mir (noch) keinen Zugang zum WLAN. Danke für den interessanten Denkanstoß.
